Расширенные настройки межсетевого экрана
2025-12-19
Цель: Получить практические навыки расширенной настройки межсетевого экрана FirewallD.
Задачи: - Настроить доступ по SSH через нестандартный порт 2022 - Реализовать переадресацию портов - Настроить маскарадинг для доступа клиента в Интернет - Автоматизировать процесс настройки с помощью скрипта
Запуск виртуальной машины и вход под суперпользователем
Настройка FirewallD для SSH на порту 2022: - Создание XML-файла пользовательской службы ssh-custom - Изменение стандартного порта 22 на 2022 - Активация службы в текущей и постоянной конфигурации
Создание и просмотр файла пользовательской службы
Модификация файла службы: - Копирование стандартного шаблона службы SSH - Редактирование XML-файла для указания порта 2022 - Обновление описания службы
Редактирование конфигурационного файла службы
Добавление службы в FirewallD: - Перезагрузка конфигурации FirewallD - Добавление службы ssh-custom в активные правила - Сохранение изменений с флагом --permanent
Добавление и активация пользовательской службы в FirewallD
Организация доступа через порт 2022: - Добавление правила переадресации TCP-трафика - Направление входящих соединений с порта 2022 на порт 22 - Проверка доступности SSH-сервера на новом порту
Настройка правила переадресации портов
Проверка работоспособности: - Подключение с клиентской машины через порт 2022 - Использование параметра -p в команде ssh - Подтверждение успешного установления соединения
Проверка подключения по SSH через порт 2022
Активация маршрутизации в ядре ОС: - Проверка текущего состояния перенаправления пакетов - Создание конфигурационного файла 90-forward.conf - Установка параметра net.ipv4.ip_forward = 1
Активация перенаправления IP-пакетов в ядре
Обеспечение доступа клиента в Интернет: - Включение механизма Masquerading в зоне public - Применение изменений с флагом --permanent - Проверка сетевого подключения клиента
Настройка маскарадинга в FirewallD
Тестирование подключения к Интернету: - Проверка доступности внешних сетевых ресурсов - Подтверждение работоспособности настроек маршрутизации - Верификация работы механизма маскарадинга
Проверка сетевого подключения клиента к Интернету
Создание структуры для автоматизации: - Копирование конфигурационных файлов в проект Vagrant - Организация директорий etc/firewalld/services и etc/sysctl.d - Подготовка файлов для provisioning-скрипта
Копирование конфигурационных файлов в проект Vagrant
Разработка bash-скрипта: - Написание скрипта firewall.sh для автоматической настройки - Включение команд копирования файлов и настройки FirewallD - Установка прав на выполнение скрипта
Создание и содержимое скрипта автоматической настройки
Настройка автоматического развёртывания: - Добавление скрипта в конфигурацию Vagrantfile - Настройка provisioning для виртуальной машины server - Обеспечение порядка выполнения скриптов
Добавление скрипта в конфигурацию Vagrantfile
Основные вопросы: - Где хранятся пользовательские файлы firewalld?
В директории /etc/firewalld/services/
Какую строку добавить для порта TCP 2022?
<port protocol="tcp" port="2022"/>
Как перечислить все доступные службы?
Команда firewall-cmd --get-services
В чём разница NAT и Masquerading?
Masquerading — частный случай NAT для динамических IP
Как перенаправить трафик на порт 4404?
firewall-cmd --add-forward-port=port=4404:proto=tcp:toport=22:toaddr=10.0.0.10
Как включить маскарадинг в зоне public?
firewall-cmd --zone=public --add-masquerade
Результаты работы: - Освоены методы расширенной настройки FirewallD - Реализован доступ к SSH через альтернативный порт - Настроен маскарадинг для маршрутизации трафика клиента - Создан автоматизированный сценарий развёртывания - Приобретены навыки управления сетевым экраном в Linux